CN114553568A - 一种基于零信任单包认证与授权的资源访问控制方法 - Google Patents

Abstract

本发明属于信息安全领域，具体涉及一种基于零信任单包认证与授权的资源访问控制方法，该方法包括：终端设备向零信任网关发起访问请求；零信任网关验证终端设备发送的请求信息，若验证通过，密钥中心生成会话密钥以及终端设备的公钥和私钥；终端设备生成用户访问零信任网关的单包信息，并利用会话密钥加密单包信息；计算单包信息的消息摘要，利用私钥对加密的单包信息和摘要信息进行签名，并将所有信息发送给零信任网关；该零信任网关验证签名信息、加密信息和摘要信息，如果验证都通过，则为此终端设备开放一致性端口，允许该终端设备临时访问服务器；采用本申请所描述的方法，有利于实现服务端口的隐藏，减少网络攻击面，提高网络的安全性。

Description

一种基于零信任单包认证与授权的资源访问控制方法

技术领域

本发明属于信息安全领域，具体涉及一种基于零信任单包认证与授权的资源访问控制方法。

背景技术

传统基于边界的网络通过“先连接，后认证”的方式在网络边界处验证用户的身份，确定用户是否值得信任。如果用户可以通过认证，那么用户就可以在网络内部进行横向移动。传统网络默认内网是安全的，认为网络安全就是边界安全，因此部署防火墙、WAF等安全设备对网络边界进行层层防护。随着大数据、移动互联网等新兴技术的不断发展，网络边界逐渐趋于模糊，传统网络安全防护模型的缺陷也越来越明显。例如，传统网络的防火墙需要配置相关的访问策略，显式的允许终端设备访问对应的服务资源，尽管可以细化访问控制策略来减少服务资源的暴露面，但是依然存在着诸多网络安全威胁。

零信任网络打破了传统基于边界的防护思维，从传统的以网络为中心转变为以身份为中心进行最小权限的访问控制。软件定义边界(SDP)作为零信任的最佳落地技术，确保只有合法的用户、设备、网络环境才能被接入到零信任网络中，同时通过网络隐身的技术来减少网络安全的暴露面，避免了传统网络用户可以横向移动的安全风险。单包授权(SPA)作为SDP网络隐身的核心网络安全协议，克服了传输控制协议/互联网协议(TCP/IP)开放和不安全的特性，通过“先认证，后连接的”的方式来实现零信任的安全理念。零信任网关默认丢弃所有访问的数据包，当设备终端通过加密的SPA数据包向零信任网关发起的认证请求时，如果认证通过，则为设备终端开放一致性端口并生成相应的临时访问策略，并在超时后自动删除该策略。SPA在单一的零信任网络环境中被加密和认证，通过配置默认丢弃的策略来保护服务资源对外不可见，实现服务的隐身，从而减少了网络攻击面，提高了网络安全性。

发明内容

为解决以上现有技术存在的问题，本发明提出了一种基于零信任单包认证与授权的资源访问控制方法，该方法包括：

终端设备向零信任网关发送访问请求；

零信任网关根据访问请求信息对终端设备进行身份认证，若终端身份认证不合法，则访问请求失败，若终端身份合法，则向密钥生成中心发送密钥生成请求，零信任网关配置各个端口的拒绝策略；

密钥中心根据零信任网关发送的请求生成会话密钥以及终端设备的公钥和私钥，其中公钥公开，私钥发送给终端设备；

终端设备生成访问零信任网关的单包认证信息，采用会话密钥加密单包认证信息；计算单包认证信息的消息摘要，并采用私钥分别对单包认证信息和消息摘要进行签名；将签名后的单包认证信息和签名后的消息摘要发送给零信任网关；

零信任网关接收到终端设备发送的信息后，采用终端设备的公钥验证单包认证信息和消息摘要上的签名是否正确，若验证错误，则请求失败，若验证正确，则采用会话密钥解密终端设备加密的单包认证信息，并对消息摘要进行验证，若验证失败，则请求失败，若验证成功，则零信任网关打开一致性端口，并授予该终端设备访问权限；

终端设备根据访问权限访问服务资源。

优选的，终端设备向零信任网关发送的访问请求包括终端设备的用户名、终端设备标识以及IP地址。

优选的，零信任网关对终端设备进行身份认证的过程包括：零信任网关在系统上查找该终端设备的用户名和终端设备标识，并确定该用户的IP地址是否在零信任网关中分配网段；若在系统上查找到该终端设备的用户名和终端设备标识，并且在零信任网关中分配网段，则该终端设备合法，否则该终端设备不合法。

优选的，零信任网关配置各个端口的拒绝策略包括：零信任网关默认关闭各个端口，并拒绝所有访问端口的请求；当零信任网关对用户请求信息验证通过后，该端口被零信任网关所开放。

优选的，密钥中心生成会话密钥以及终端设备的公钥和私钥的过程包括：密钥生成中心通过国密算法SM4生成终端设备与零信任网关之间的会话密钥SessionKey，并将该密钥发送给终端设备和零信任网关；密钥生成中心利用SM2算法生成终端设备的公私钥对(PK,SK)，并将公钥PK公开，私钥SK秘密发送给终端设备。

优选的，终端设备对单包认证信息进行处理的过程包括：终端设备生成的单包认证信息包括随机数、用户名、时间戳、协议版本号、IP地址、源端口号、目的端口号以及单包信息的大小；采用会话密钥加密单包认证信息，即C＝E(SP，SessionKey)，其中C为加密后的密文，E为SM4中的加密算法，SP为单一数据包，SessionKey为加密密钥；计算单包认证信息的消息摘要的公式为：HM＝H(SP)，其中HM为计算的消息摘要值，H为SM3中的摘要算法；终端设备采用私钥对单包认证信息和消息摘要进行签名包括Q＝Sign(SP，HM，SK)，其中Q为生成的签名，Sign为SM2中的签名算法，SK为终端设备的私钥。

优选的，零信任网关对终端设备发送的信息进行验证的过程包括：零信任网关利用终端设备的公钥验证签名信息的正确性，即Verify(Q，SP，HM，PK)＝1/0，其中Verify为SM2中的签名验证算法，Q为签名信息，SP为单包信息，HM为摘要信息，PK为终端设备的公钥，若验证成功，则终端设备合法，否则终端设备非法，拒绝访问；零信任网关通过密钥SessionKey解密密文，SP＝D(SessionKey，C)，其中SP为未加密的单一数据包信息，D为SM4中的解密算法，SessionKey为SM4的解密密钥，C为密文；利用SM3中的消息摘要算法计算HM’＝H(SP)，其中HM’为零信任网关计算的消息摘要值，H为SM3的消息摘要算法，SP为单包信息；校验HM是否等于HM’，若不相等，则该信息被篡改，终端设备访问无效，若相等，则该访问请求有效。

优选的，终端设备访问服务资源包括：终端设备被授予访问权限后设置终端设置访问时间，并临时开放一致性端口；终端设备在设置的访问时间内进行服务资源访问，当达到访问时间后零信任网关关闭一致性端口，断开服务器与终端设备的连接。

为实现上述目的，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现任一上述基于零信任单包认证与授权的资源访问控制方法。

为实现上述目的，本发明还提供一种基于零信任单包认证与授权的资源访问控制装置，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于零信任单包认证与授权的资源访问控制装置执行任一上述基于零信任单包认证与授权的资源访问控制方法。

本发明的有益效果：

本发明在进行终端设备访问服务资源的过程中，首先通过零信任网关对终端设备进行身份认证，认证成功后再将加密后的单包认证信息发送给零信任网关进行验证，由于先对终端设备进行了身份验证，若不合法的终端设备直接拒绝该请求，使得提高了单包认证与授权的效率，实现了对服务资源的隐藏，提高网络安全性，减少网络攻击面。

附图说明

图1是本申请实施例提供的一种基于零信任单包认证与授权的资源访问控制系统架构示意图；

图2是本申请实施例提供的一种基于零信任单包认证与授权的资源访问控制方法的流程图；

图3是本申请实施例提供的终端设备执行流程图；

图4是本申请实施例提供的零信任网关执行流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种基于零信任单包认证与授权的资源访问控制的系统框架图，该系统框架包括终端设备、零信任网关、密钥生成中心以及服务资源。

终端设备或还可以称为终端，可以是一种具有无线收发功能的设备，其可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。终端设备可以是用户设备(user equipment，UE)，其中，UE包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，UE可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请实施例中，用于实现终端的功能的装置可以是终端；也可以是能够支持终端实现该功能的装置，例如芯片系统，该装置可以被安装在终端中。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。在本申请实施例中终端设备主要用于：获取密钥生成中心发送的会话密钥，该密钥是由密钥生成中心通过SM4算法生成的对称密钥；获取密钥生成中心发送的公钥和私钥，该密钥是由密钥生成中心通过SM2算法生成的；基于该会话密钥对终端设备生成的单一数据包进行加密、摘要计算和签名生成，然后将所有信息发送给零信任网关作为该设备终端认证请求；若认证通过后，该终端设备便可以访问相应的服务资源信息。

零信任网关，主要负责认证终端设备的身份信息、单包信息、摘要信息、签名信息等，还用于配置相关的拒绝策略，默认拒绝所有用户的访问，实现服务资源端口的隐藏。

密钥生成中心，主要负责使用国密算法生成相应的密钥，比如：终端设备和零信任网关通信的会话密钥、终端设备对单包数据进行签名的私钥等。

服务资源，主要负责管理企业资源，保护企业资源不受到侵害，为终端设备提供企业资源进行访问。本专利中服务资源包含远程登录服务、WEB服务等，为终端设备提供具体的服务资源信息。

一种基于零信任单包认证与授权的资源访问控制方法的具体实施方式，如图2所示，该方法包括：

S1：终端设备向零信任网关发送访问请求。

本申请实施例中，在步骤S1之前还包括终端设备向零信任网络申请身份注册，零信任网络对终端设备的身份审查；若审查通过，则将终端设备的身份信息加入到零信任网络中的身份管理系统中以及设备管理系统中，并对终端设备的身份和设备进行统一标识。

终端设备携带自己的用户身份信息和设备标识信息向零信任网关发送资源获取请求。

S2：零信任网关根据访问请求信息对终端设备进行身份认证，若终端身份认证不合法，则访问请求失败，若终端身份合法，则向密钥生成中心发送密钥生成请求，零信任网关配置各个端口的拒绝策略。

该拒绝策略相当于防火墙的访问控制策略，由用户自己配置。通过配置的策略可以允许或拒绝客户端的访问请求。本方法中的拒绝策略是关闭22号端口、默认拒绝所有访问22号端口的请求，只有通过认证之后，22号端口才会被零信任网关所开放。

本申请实施例中，资源获取请求用于请求获取服务资源信息，如SSHD、WEB服务，零信任网关接收到该终端设备发送的资源获取请求，确定该终端设备需要访问相应的服务资源时，则根据零信任的身份管理系统和设备管理系统来验证该终端设备的身份，如果验证未通过，则该终端设备需要重新注册身份信息。如果验证通过，则向密钥生成中心发送密钥生成请求。

S3：密钥中心根据零信任网关发送的请求生成会话密钥以及终端设备的公钥和私钥，其中公钥公开，私钥发送给终端设备。

本申请实施例中，密钥生成中心利用国密算法SM4来生成终端设备和零信任网关的会话密钥SessionKey，该SessionKey主要用户加密终端设备生成的单一数据包信息；同时，密钥生成中心利用国密算法SM2来生成终端设备的公钥PK和私钥SK，公钥公开，私钥秘密发送给该终端设备。该私钥主要用于终端设备对加密的单包信息和摘要值进行签名，公钥主要用于零信任网关验证签名的正确性，以此来验证终端设备的真实身份。

密钥生成中心向零信任网关发送会话密钥SessionKey以及终端设备的公钥PK。密钥生成中心向终端设备发送会话密钥SessionKey以及终端设备的公钥和私钥(PK，SK)。

S4：终端设备生成访问零信任网关的单包认证信息，采用会话密钥加密单包认证信息；计算单包认证信息的消息摘要，并采用私钥分别对单包认证信息和消息摘要进行签名；将签名后的单包认证信息和签名后的消息摘要发送给零信任网关。

本申请实施例中，终端设备基于自己的信息等生成单一数据包(SP)信息，此单包信息中主要包含：随机数、用户名、时间戳、协议版本号、IP地址、源端口号、目的端口号、单包信息的大小等。

终端设备利用SessionKey加密此单一数据包，具体为：C＝E(SP，SessionKey)，其中C为加密后的密文，E为SM4中的加密算法，SP为单一数据包，SessionKey为加密密钥；采用消息摘要算法SM3对单一数据包进行摘要计算，具体为：HM＝H(SP)，其中HM为计算的消息摘要值，H为SM3中的摘要算法，SP为单一数据包；终端设备利用自己的私钥SK对密文和摘要值进行签名，具体为：Q＝Sign(SP，HM，SK)，其中Q为生成的签名，Sign为SM2中的签名算法，SP为单一数据包信息，HM为单一数据包的摘要值，SK为所述终端设备的私钥。

终端将自己的身份信息、单包信息、摘要信息以及签名信息统一发送给所述零信任网关。

S5：零信任网关接收到终端设备发送的信息后，采用终端设备的公钥验证单包认证信息和消息摘要上的签名是否正确，若验证错误，则请求失败，若验证正确，则采用会话密钥解密终端设备加密的单包认证信息，并对消息摘要进行验证，若验证失败，则请求失败，若验证成功，则零信任网关打开一致性端口，并授予该终端设备访问权限。

零信任网关利用所述终端设备的公钥验证签名信息的正确性，具体为：Verify(Q，SP，HM，PK)＝1/0，其中Verify为SM2中的签名验证算法，Q为签名信息，SP为单包信息，HM为摘要信息，PK为所述终端设备的公钥，如果验证成功，则此验证算法输出1，表示所述终端设备合法；否则输出0，表示所述终端设备非法，拒绝访问。

零信任网关验证单一数据包密文的正确性。零信任网关通过密钥SessionKey解密密文，具体为：SP＝D(SessionKey，C)，SP为未加密的单一数据包信息，D为SM4中的解密算法，SessionKey为SM4的解密密钥，C为密文。如果可以正确解密，则认为终端设备的单包信息合法；否则不合法。

零信任网关验证单一数据包的摘要正确性。零信任网关正确解密后，利用SM3中的消息摘要算法计算HM’＝H(SP)，其中HM’为所述零信任网关计算的消息摘要值，H为SM3的消息摘要算法，SP为单包信息；零信任网关校验HM是否等于HM’，以此来判断所述终端发送的单包信息没有被第三方篡改。

零信任网关认证所述终端设备发送的单包信息，比如：单包信息中的用户名是否合法、IP地址是否满足防火墙配置的策略等；若认证成功，则零信任网关授予终端设备临时的访问凭证，允许终端设备临时访问相应的服务资源，并在超时后拒绝终端的访问；若认证失败，则拒绝终端设备的访问请求。

S6：终端设备根据访问权限访问服务资源。

一种终端设备处理数据的具体实施方式，如图3所示，具体包括：终端设备进行初始化工作，得到密钥生成中心为自己生成的密钥；终端设备根据自己的信息生成单包信息；终端设备利用密钥加密单包信息；终端设备计算单包信息的消息摘要值；终端设备利用自己的私钥对单包信息及消息摘要值进行签名；终端设备将单包信息、消息摘要值、签名发送给零信任网关。

一种零信任网关执行任务的具体实施方式，如图4所示，具体包括：零信任网关进行初始化工作，得到密钥生成中心生成的解密密钥以及终端设备的公钥；零信任网关运行拒绝策略，默认拒绝所有的访问请求；接收到终端设备发送的单包请求后，利用终端设备的公钥验证单包信息的签名是否正确，若正确，则计算单包信息的消息摘要值，否则，拒绝终端设备的访问，结束；判断终端设备发送的摘要值与计算的出的单包信息的消息摘要值是否一致，若一致，则零信任网关利用密钥解密终端设备发送的加密单包数据，否则拒绝终端设备的访问，结束；判断零信任网关解密是否成功，若成功，则零信任网关验证终端设备发送的单包数据，若验证通过零信任网关为终端设备生成相应的临时凭证，允许终端设备临时访问服务资源；否则拒绝该终端设备访问请求。

于本发明一实施例中，本发明还包括一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一所述基于零信任单包认证与授权的资源访问控制方法。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

一种基于零信任单包认证与授权的资源访问控制装置，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于零信任单包认证与授权的资源访问控制装置执行任一上述基于零信任单包认证与授权的资源访问控制方法。

具体地，所述存储器包括：ROM、RAM、磁碟、U盘、存储卡或者光盘等各种可以存储程序代码的介质。

优选地，所述处理器可以是通用处理器，包括中央处理器(Central ProcessingUnit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，该方法包括：

终端设备向零信任网关发送访问请求；

零信任网关根据访问请求信息对终端设备进行身份认证，若终端身份认证不合法，则访问请求失败，若终端身份合法，则向密钥生成中心发送密钥生成请求，零信任网关配置各个端口的拒绝策略；

密钥中心根据零信任网关发送的请求生成会话密钥以及终端设备的公钥和私钥，其中公钥公开，私钥发送给终端设备；

终端设备生成访问零信任网关的单包认证信息，采用会话密钥加密单包认证信息；计算单包认证信息的消息摘要，并采用私钥分别对单包认证信息和消息摘要进行签名；将签名后的单包认证信息和签名后的消息摘要发送给零信任网关；

零信任网关接收到终端设备发送的信息后，采用终端设备的公钥验证单包认证信息和消息摘要上的签名是否正确，若验证错误，则请求失败，若验证正确，则采用会话密钥解密终端设备加密的单包认证信息，并对消息摘要进行验证，若验证失败，则请求失败，若验证成功，则零信任网关打开一致性端口，并授予该终端设备访问权限；

终端设备根据访问权限访问服务资源。

2.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，终端设备向零信任网关发送的访问请求包括终端设备的用户名、终端设备标识以及IP地址。

3.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，零信任网关对终端设备进行身份认证的过程包括：零信任网关在系统上查找该终端设备的用户名和终端设备标识，并确定该用户的IP地址是否在零信任网关中分配网段；若在系统上查找到该终端设备的用户名和终端设备标识，并且在零信任网关中分配网段，则该终端设备合法，否则该终端设备不合法。

4.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，零信任网关配置各个端口的拒绝策略包括：零信任网关默认关闭各个端口，并拒绝所有访问端口的请求；当零信任网关对用户请求信息验证通过后，该端口被零信任网关所开放。

5.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，密钥中心生成会话密钥以及终端设备的公钥和私钥的过程包括：密钥生成中心通过国密算法SM4生成终端设备与零信任网关之间的会话密钥SessionKey，并将该密钥发送给终端设备和零信任网关；密钥生成中心利用SM2算法生成终端设备的公私钥对(PK,SK)，并将公钥PK公开，私钥SK秘密发送给终端设备。

6.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，终端设备对单包认证信息进行处理的过程包括：终端设备生成的单包认证信息包括随机数、用户名、时间戳、协议版本号、IP地址、源端口号、目的端口号以及单包信息的大小；采用会话密钥加密单包认证信息，即C＝E(SP，SessionKey)，其中C为加密后的密文，E为SM4中的加密算法，SP为单一数据包，SessionKey为加密密钥；计算单包认证信息的消息摘要的公式为：HM＝H(SP)，其中HM为计算的消息摘要值，H为SM3中的摘要算法；终端设备采用私钥对单包认证信息和消息摘要进行签名包括Q＝Sign(SP，HM，SK)，其中Q为生成的签名，Sign为SM2中的签名算法，SK为终端设备的私钥。

7.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，零信任网关对终端设备发送的信息进行验证的过程包括：零信任网关利用终端设备的公钥验证签名信息的正确性，即Verify(Q，SP，HM，PK)＝1/0，其中Verify为SM2中的签名验证算法，Q为签名信息，SP为单包信息，HM为摘要信息，PK为终端设备的公钥，若验证成功，则终端设备合法，否则终端设备非法，拒绝访问；零信任网关通过密钥SessionKey解密密文，SP＝D(SessionKey，C)，其中SP为未加密的单一数据包信息，D为SM4中的解密算法，SessionKey为SM4的解密密钥，C为密文；利用SM3中的消息摘要算法计算HM’＝H(SP)，其中HM’为零信任网关计算的消息摘要值，H为SM3的消息摘要算法，SP为单包信息；校验HM是否等于HM’，若不相等，则该信息被篡改，终端设备访问无效，若相等，则该访问请求有效。

8.根据权利要求1所述的一种基于零信任单包认证与授权的资源访问控制方法，其特征在于，终端设备访问服务资源包括：终端设备被授予访问权限后设置终端设置访问时间，并临时开放一致性端口；终端设备在设置的访问时间内进行服务资源访问，当达到访问时间后零信任网关关闭一致性端口，断开服务器与终端设备的连接。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行，以实现权利要求1至8中任一项基于零信任单包认证与授权的资源访问控制方法。

10.一种基于零信任单包认证与授权的资源访问控制装置，其特征在于，包括处理器和存储器；所述存储器用于存储计算机程序；所述处理器与所述存储器相连，用于执行所述存储器存储的计算机程序，以使所述一种基于零信任单包认证与授权的资源访问控制装置执行权利要求1至8中任一项基于零信任单包认证与授权的资源访问控制方法。

Images